Di notevole interesse è la Circolare 31 maggio 2019 del DPO (o RPD) del Ministero della Giustizia avente ad oggetto le istruzioni operative e modulistica prevista per uno degli adempimenti più delicati del Regolamento EU n. 2016/679 e cioè la Valutazione d’impatto sulla protezione dei dati (cd. DPIA).
La Circolare colpisce per diverse motivazioni. Innanzitutto rappresenta una piena applicazione del principio di accountability. Infatti, l’intento del Data Protection Officer è proprio quello di far presente a tutte le articolazioni ministeriali quali siano le caratteristiche della DPIA e quando la stessa vada condotta con un chiaro rinvio alle linee guida dei Garanti europei del 4 aprile 2017.
Inoltre, con il provvedimento n. 467 dell’11 ottobre 2018 pubblicato sulla G.U. n. 269 del 19 novembre 2018 attraverso il quale il Garante per la protezione dei dati personali ha previsto, ai sensi dell art.35 comma 4 del regolamento EU n.2016/679 l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati.
IL RUOLO DEI DPO
L’intento della Circolare è anche quello di chiarire quale sia il ruolo del DPO con riferimento a tale adempimento ed in tale ottica sono individuate due distinte ipotesi: la prima, che il titolare sia incerto circa la necessità di una DPIA e a tal fine consulti il DPO; la seconda, che il titolare sia già convinto che la valutazione sia necessaria e allora richieda il parere previsto dagli artt. 35, 39 Reg.
In tale ultimo caso, il DPO chiaramente non è vincolato al giudizio svolto dal titolare e ben potrebbe ritenere che nel caso sottoposto, la DPIA non sia necessaria oppure osservare che la stessa sia necessaria, ma per motivi diversi da quelli indicati dal titolare.
Ovviamente questo non deve indurre a formalizzare qualsiasi iniziativa del DPO in materia, poiché in questo modo si potrebbe ottenere l’effetto opposto di un’eccessiva burocratizzazione delle attività contrario allo spirito del GDPR.
La circolare indirettamente fornisce anche chiarimenti sull’organizzazione che il Ministero della Giustizia ha inteso darsi dal punto di vista della protezione dei dati personali. Cioè un unico Titolare del trattamento e quindi un unico DPO a livello centrale. Sarà interessante a questo punto vedere come verrà curata nello specifico l’applicazione del d.lgs. n. 51/2018 che ha recepito la Direttiva n. 680/2016